VPN服务器学习之VPN的三大典型应用

　　2、访问权限的设置与管理。利用虚拟局域专用网络VPN进行公司之间网络的对接的时候，我们的设想是这对于用户来说是透明的。也就是说，用户在利用VPN技术访问其他公司的内部网络时，跟访问自己企业的内部网络差不多。最简单的说，分公司的财务人员在往企业总公司放财务报表的时候，不需要频繁的输入用户名与密码。这就是说，企业两端的VPN服务器需要设置统一的访问帐户与密码。就好像现在有些网站推出的“一号通”功能，利用同一个帐号，就可以登陆博客、邮箱、论坛等等。根据用户登录系统的帐号，不但可以访问企业自己内部的资源，也可以访问总公司的资源。总之，用一句话来概括，就是要最大限度的让用户感受不到VPN的存在。当然，要实现这个目标，就需要在不同公司的VPN服务器进行统一的管理，并对访问权限进行合理的配置;要对各个公司的用户帐户与密码进行统一的规划。

　　典型应用二

　　企业扩展虚拟局域网

　　随着信息化技术的发展，有时候，信息化管理已经不再是企业自己的事情，更是一种跟客户进行谈判的手段。

　　如笔者企业，就有不少的老外客户，他们在跟我们谈订单的时候，就特别强调，他们要能够访问我们公司的ERP系统，查询他们订单的处理进度。客户是上帝，对于客户的要求我们可不敢怠慢。为此，我们就可以使用VPN技术，实现企业扩展虚拟局域网，让客户也能够访问我们公司企业内部的ERP服务器。

　　企业扩展虚拟局域网，其就是来实现一个目标，就是让企业的外部合作伙伴，能够快速、安全的访问企业的内部应用。其实现的原理，跟利用VPN技术，对不同公司之间网络的对接，是一致的。不过，外部合作伙伴毕竟不是自己的人，所以，在关注上面所提到的注意点之外，还需要关注一下内容。

　　一是数据的过滤。若有客户需要访问公司内部的ERP系统，那么，公司当然不希望其看到其他公司的信息，也不希望看到公司的生产成本。客户只能够访问他们自己企业的订单相关信息，如订单的生产进度、质量检验情况、出货情况等等。而这些信息的话，通过VPN服务器是没法进行控制的，需要在应用系统中，如ERP系统中，进行帐户设置并分配给其合理的权限。笔者企业的ERP管理员的做法是，为客户设置几份报表，这几份报表中包含用户所关心所有信息。也就是说，客户在访问ERP信息的时候，只能够访问这几份报表，而不能访问其他内容。我们都知道，利用数据库的视图功能，可以实现数据的过滤，从而保障客户不能够看到其不应该看到的内容。

　　二是访问内容的限制。在使用企业扩展虚拟局域网的时候，要先明确客户需要访问企业的哪些应用。一般来说，客户只能够访问有限的应用，而不能访问企业所有的内部网络资源。可能企业允许客户访问自己公司内部对ERP系统、CRM系统或者报关系统等等，而不能访问其他资源，特别是对主机的随意访问。所以，网络此时就需要注意，给他们的帐户在分配权限的时候，要遵循最小权限的原则。宁可他们认为权限不够时在进行调整，而不要一开始就给与他们太大的权限，让他们可以访问不该访问的资源。

　　典型应用三

　　远程访问虚拟网

　　这是最常见的一种VPN应用。远程访问虚拟网，是指当员工出差或者在家里时，也可以利用VPN技术，连上企业的内部网络，访问企业内部的ERP系统、文件服务器系统、甚至任何主机等等。远程访问虚拟网，相比以上两种应用来说，要简单的多。一方面，其一般都通过帐户与用户名进行访问，所以，不需要进行很复杂的帐户规划;另一方面，一个人利用VPN访问企业的内部网络，一般不会产生很大的数据流量，所以，也不用担心VPN服务器负荷太重。

　　不过，对于远程访问虚拟网有一个很头疼的问题。像以上两种应用，都可以通过IP地址来实现访问权限的控制，即使帐号泄露了，但是，只要不在他们公司内部，就不能利用VPN服务器访问企业的内部网络。因为企业的IP地址往往是固定的，如此的话，访问的时候，VPN服务器会认为IP地址不对而拒绝访问。

　　但是，个人利用远程访问虚拟网登陆企业内部网络的时候，就有一个问题。员工在外面出差，其使用的IP地址是不固定的，要是其密码泄露了，则其他非法访问者就可以轻松的进行访问，因为此时VPN服务器不会检测IP地址。只要帐号与用户名对了，VPN服务器就会放行。

　　所以，利用VPN技术实现远程访问虚拟网，虽然不是很复杂，但是，其帐户的安全性则是个大问题。这一点，我们网络管理员要引起充分的重视。